Compliance e auditoria interna, embora andem próximas, estão em linhas de defesa distintas. Faz sentido que as duas áreas estejam sobre o mesmo chapéu?
Desde que o Compliance começou a ganhar mais espaço no ambiente corporativo brasileiro, no início da década passada, foi comum, por muitos anos, uma discussão sobre a independência da área de Compliance na estrutura organizacional das empresas. Tendo chegado por meio das multinacionais, em especial as norte-americanas, foi muito comum naquele primeiro momento ter o Compliance como parte do departamento jurídico, área tradicional e há tempos estabelecida por aqui. Fazia sentido uma vez que o principal motivo para a implementação de uma área de Compliance era dar conta do FCPA, que após quase três décadas de relativa calmaria, viu sua aplicação pelas autoridades norte-americanas explodir a partir do final dos anos 2000.
Hoje, (na verdade, desde o final da década passada), existe certo consenso no mercado que o Compliance deve operar como uma área independente do jurídico, ainda que ela responda em última instância ao general counsel em algumas multinacionais, a operação do dia a dia precisa ser independente. É verdade que nos últimos anos vivenciamos uma explosão de diretores jurídicos agregando o “e Compliance” à descrição do seu cargo, mas isso já dentro de uma nova realidade e com alguma estrutura embaixo deles para garantir ao menos uma independência funcional para o Compliance.
Não tão comum quanto o departamento jurídico, mas também bastante tradicional no ambiente corporativo brasileiro, a área de auditoria interna sempre foi vista como uma parceira primordial do Compliance. Os últimos gatekeepers da empresa tem entre suas missões testar e auditar os processos e mecanismos de controle da empresa, incluindo aí os próprios controles de aplicação do Compliance na companhia. Trata-se de uma área com atuação mais regulada. A SOx, por exemplo, exige das empresas que operam no mercado de capitais americano que elas tenham Auditoria Interna independente, com reporte direto ao comitê de auditoria do Conselho de Administração. Aqui no Brasil, não existe nada tão específico em relação ao tema, e o próprio comitê de auditoria é um instrumento relativamente novo e ainda pouco difundido. Mas as melhores práticas apontadas por órgãos como o IBGC recomendam que a auditoria interna deve se reportar diretamente ao Conselho de Administração.
Em geral, as discussões sobre a conveniência de se manter, sob uma mesma estrutura, as áreas de Compliance e Auditoria Interna são mais recentes do que aquelas que tratavam do Compliance junto com o Jurídico. Elas também são de outra natureza.
Embora coabitem a segunda linha de defesa e operem em boa medida para manter as empresas em conformidade com a lei, Jurídico e Compliance são áreas com naturezas distintas em sua essência. Enquanto a primeira se ocupa de defender a empresa como um cliente, buscando sempre a melhor alternativa e as interpretações possíveis das leis para viabilizar uma determinada operação, o Compliance tende a olhar para os impactos que aquela escolha pode ter para a reputação e o ambiente de governança e controle da companhia.
Já a Auditoria Interna e o Compliance, embora ocupem linhas distintas, compartilham de valores que lhes são caros, como a independência de atuação, a abordagem baseada em riscos e a necessidade de um olhar mais crítico e imparcial sobre o que acontece na empresa, seja para recomendar alterações nos processos, ou mesmo para apontar violações e desvios cometidos por funcionários, especialmente os do alto escalão. Sócia da Prática de Serviços Forenses e de Integridade da empresa de auditoria e consultoria EY Brasil, Patricia Miguel, compartilha dessa visão e tendo que escolher entre o Jurídico e a Auditoria Interna para compartilhar o “teto” com o Compliance, via de regra, ela acha melhor que seja com a segunda. “A auditoria interna tem um mandado e uma garantia de independência, enquanto o Jurídico tem um mandado para defender a organização”, explica.